原文：转自《金融电子化》纸刊 [2022年10月下，总第329期]
作者：温州银行 姜秀新 王屹 刘伦棉 

随着银行信息系统架构从传统的IT架构向虚拟化、云化和容器化升级变迁，银行的网络边界逐步模糊，基于边界的安全防护将变得更为困难。攻击者突破边界防线后，可在网络内部横向移动以获取高价值数据，内部隔离变得尤为重要。

银保监发布的《关于银行业保险业数字化转型的指导意见》中明确指出要完善纵深防御体系，传统部署大量边界安全设备的建设思路，已无法满足新环境下的安全防护需求。特别是零信任相关理念的发展落地，未来银行业需基于新技术、新理念构建面向实际防护能力的纵深防御体系。

传统网络安全防护困境

基于传统网络安全防护思想，银行已部署了下一代防火墙、入侵防御系统(IPS)、抗拒绝服务攻击(DDoS)系统、web应用防火墙(WAF)等安全防护产品，投入大量的精力和资源构筑网络边界防护能力，以管控进出网络边界的南北向流量。但是，随着网络边界逐渐模糊和攻击技战术的不断演进，再严密的边界防护也无法完全阻断攻击者的入侵行为。因此，传统网络安全防护方案面临诸多不足和挑战：

1．内控能力弱

传统网络安全防护方案往往外围防御强大，但对网络内部的安全控制较为薄弱，攻击者一旦进入网络内部，可利用漏洞和恶意软件在系统间横向移动，快速扩展攻击面，持续窃取敏感数据长达数月甚至数年。

2．管控粒度粗

传统网络安全防护方案仅能创建粗粒度的安全区域，但攻击者仍能在隔离区内横向移动。然而，为每个主机部署传统防火墙是不切实际的，一方面数据中心往往有成千上万个主机，另一方面每个主机都需配置独特的安全策略。

3．隔离效率低

据统计，目前数据中心75%以上的流量为内部服务器相互访问所产生的内部流量，即东西向流量。传统网络安全防护方案缺乏对东西流量的管控能力，若将东西向流量重定向至防火墙则会形成阻塞点，也会导致防火墙规则集复杂化，内部隔离效率低下。

4．策略调整慢

传统网络安全防护方案无法有效管控东西向流量，也就无法感知业务间访问关系。由于业务访问关系错综复杂，传统方案无法提供动态自适应的控制策略，所提供的静态策略也无法适应虚拟机迁移、业务快速迭代等需求。

为应对以上安全挑战，需创建逻辑上尽可能小的安全区域进行微隔离，并为每个隔离区设置安全控制策略并交付服务，以实现东西向流量细粒度管控。微隔离也可限制攻击者渗透入网络之后在内部横向移动，就像银行保险库被入侵之后，保险箱仍能继续保护客户的贵重物品。

基于主机微隔离的零信任技术路线

零信任是在网络安全风险日趋严峻的情况下，对传统边界防护思想的全新评估和审视，是新一代网络安全架构。零信任强调“永不无条件信任，永远依据上下文验证身份”，不以位置标识身份、所有访问控制为最小权限、所有访问均被跟踪和评估。NIST所总结的零信任关键技术有基于软件定义边界（SDP）、身份识别与访问管理（IAM）和微隔离（MSG）。其中微隔离技术是用于实现东西向安全，即服务器跟服务器间的安全；SDP技术是用于实现南北向安全，即用户跟服务器间的安全。

具体来说，微隔离是管控粒度更小的网络隔离技术，通过把网络分成若干逻辑上的微网段,并确保单个微网段内只有一个计算资源,通过访问控制组件管控每个微网段的交互流量，从而实现资源的逻辑隔离和工作流的细粒度管控。

面对虚拟化环境、混合云环境、容器环境等新环境对于东西向流量隔离的需求，微隔离可解决组织各系统任意两个点之间的业务关系与访问控制问题，为不同类型的数据流创建不同的安全策略，实现对工作流的动态、自适应和细粒度管控。此外，微隔离可阻止攻击者进入组织网络内部后的横向移动，提升组织网络纵深防御能力。

目前，业界已有多种可落地的微隔离方案，比较常见的有：基于云平台、基于第三方防火墙和主机的微隔离方案。

1．基于云平台的微隔离方案

该方案高度依赖云平台所提供的隔离能力，与云平台管理融合性好，但不同云厂商所提供的隔离技术差异较大。该方案对环境限制多、可移植性差，特别是混合云、多云等场景下，无法实现统一管理。

2．基于第三方防火墙的微隔离方案

该方案基于较为成熟的防火墙技术，优势是功能丰富、普及度高。但是，防火墙是为控制跨域访问而设计的隔离技术，难以实现业务级、主机级的细粒度控制。另外，在与底层平台对接方面，也存在兼容性问题。

3．主机微隔离方案

该方案需要在各节点部署Agent，以配合控制端管理节点用户的网络行为。该方案不需要控制端适配底层架构，具有节点迁移便利、安全策略计算复杂度低等优势。但是，该方案需部署Agent，前期工作量较大。

银行信息系统架构在不断演进，不同架构、不同厂商的主机设备仍将长期共存。主机微隔离方案可适配多种架构,支持物理主机、虚拟化、云化、容器化混合环境的统一安全管理，具有策略自适应、性能消耗低和可接入点多等优势。除需考虑前期安装Agent的投入之外，主机微隔离方案是银行进行零信任实践的较优方案。

基于主机微隔离的零信任部署应用

目前，温州银行已在互联网业务系统中部署了主机安全防护方案，通过在各主机中安装Agent实现了关键业务资产的可见、可控和可管，以及主机侧的入侵检测、合规检查和病毒查杀等功能。

通过部署Agent扩展组件，能够快速形成主机侧的微隔离策略执行能力，配合控制端实现东西向流量的细粒度管控。因此，温州银行根据自身实际情况，采用了主机微隔离技术方案，并取得较好的实践效果。

图1 主机微隔离架构图

 主机微隔离架构由基础设施层、主机层、计算引擎层和微隔离控制层组成，如图1所示。在基础设施层，采用主流技术提供业务服务的基础支撑，其中MongoDB用于存储业务数据，Kafka集群用于支撑网络访问数据转储以及业务过程中的数据异步处理，Zookeeper集群用于配置数据存储，MySQL数据库用于存储业务中基础数据，Redis数据库作为业务中缓存数据库。

在主机层，基于已部署的Agent，扩展了微隔离策略执行组件，实现流量收集和策略执行功能。一方面，Agent向控制层反馈当前业务流量，实时上报业务动态；另一方面，由Agent接管主机上的防火墙，接收控制层下发的策略控制指令，执行安全策略动作，实现授信访问。

计算引擎层负责接收Agent发来的流量数据，并根据这些信息建立业务模型并分析网络策略，实现业务可视化和安全策略生成。其中，访问可视化模块可根据实时采集的访问流量和主机配置的策略，可视化展示网络内可疑或者恶意的访问来源。

微隔离控制层基于引擎层提供的策略分析结论，进行多维度策略运算。通过流量自学习实现策略自适应，动态生成安全策略，并下发给Agent执行。通知和告警模块对于异常访问、策略超限以及手动开启或者关闭防火墙等行为进行告警，系统会以站内信、邮件、短信等形式通知用户。一键隔离模块可对已经被攻破或者被病毒感染的主机其进行多种类型的隔离，以防止影响网络内其他主机。

基于主机微隔离的零信任实践效果

通过主机微隔离部署，温州银行取得了以下实践效果。

1．主机微隔离统一安全管理

部署的Agent兼容各类Linux、Windows等多种操作系统，以及VMware、私有云等IT环境，为上层业务屏蔽了底层架构差异，微隔离控制层只需专注于业务，使用统一的逻辑管理所有主机。

2．东西向流量细粒度管控

通过微隔离方案，可聚合、统计所有网络连接，实现了各类业务流量的可视化展示。通过自动学习当前的业务访问，可视化展示主机之间、业务分组之间的的访问关系，如图2所示。根据业务流量生成网络策略，并分析网络策略对现有业务流量的覆盖情况。此外，也可识别主机上无用的端口，减少风险暴露面；定位没有访问的空闲主机，回收未被利用的资源。

图2 业务访问关系示意图

3．自适应隔离策略

区别于传统防火墙，微隔离方案的控制单元和策略执行单元是分离的，不同主机可实施不同的管控强度。通过对主机进行分组，标注其所属的业务系统和职责，用分组或标签的方式配置策略。通过模拟隔离策略逻辑，自动验证策略的是否覆盖业务流量，避免阻断业务。当主机业务变化时，更换其分组或标签，实现快速隔离策略变更，避免了琐碎的防火墙规则，大幅减少策略的数量，也有效地降低了运维成本。

4．快速应急处置

一旦发现异常访问，微隔离控制层以邮件、短信、系统消息、可视化连线等方式第一时间发出告警。检测发现失陷主机后，可快速隔离其出、入站双向网络流量，仅保持特定端口开放，比如仅开放远程登录端口用于排查问题，防止威胁进一步扩散。威胁清除后，随即解除隔离状态，恢复其正常网络通信。

总结

随着基于主机微隔离的零信任实践应用，温州银行实现了主机和东西流量的细粒度管控，有效阻断了攻击者的横向移动，提升了纵深防御能力。微隔离作为零信任的基础技术，未来基于Agent拓展零信任组件，同步开发部署相应的零信任访问控制引擎和信任评估引擎，进一步形成动态化、身份化访问控制能力，实现零信任方案落地，提升银行安全防护能力。

参考阅读
乌克兰军方和银行遭网络攻击后下线
派拉软件《银行零信任安全白皮书》正式发布
安卓银行木马的历史、现状与攻击手法：从间谍之眼到银行爬虫